Національна поліція Іспанії повідомила про затримання 19-річного мешканця Каталонії, якого підозрюють у зламі ІТ-систем дев’яти компаній та викраденні масштабної бази персональних даних клієнтів. За даними слідства, на хакерських форумах він намагався продати близько 64 мільйонів записів, що робить інцидент одним із найпомітніших випадків витоку персональних даних в Іспанії за останні роки.
Масштаб витоку персональних даних: які відомості були скомпрометовані
Розслідування розпочалося в червні 2025 року після того, як кілька великих, але не розкритих публічно компаній зафіксували підозрілу активність у своїх інформаційних системах. Аналіз журналів подій та трафіку показав несанкціонований доступ до внутрішніх баз даних одразу дев’яти організацій.
Під час обшуків у підозрюваного виявили масив, що містив близько 64 млн рядків із конфіденційною інформацією, зокрема:
— повні ПІБ та поштові адреси;
— адреси електронної пошти;
— номери мобільних і стаціонарних телефонів;
— номери DNI (національний документ, аналог паспорта);
— коди IBAN банківських рахунків.
Точну кількість постраждалих осіб ще не встановлено: частина записів може дублюватися або містити технічні дані. Водночас сам обсяг бази дозволяє розглядати кейс як крупномасштабний витік персональних даних із потенційно суттєвими наслідками для громадян та бізнесу.
Схема зловмисника: продаж баз на хакерських форумах і криптовалютні платежі
За інформацією поліції, підозрюваний діяв під кількома псевдонімами та використовував щонайменше шість різних акаунтів на спеціалізованих форумах у даркнеті, де торгують вкраденими базами, доступами до систем та іншими нелегальними цифровими сервісами.
Під час затримання в передмісті Барселони (Ігуалада) правоохоронці вилучили комп’ютери, смартфони та криптовалютні гаманці, через які, за версією слідства, проходили оплати за продані масиви даних. Аналіз транзакцій у блокчейні став одним із ключових елементів розслідування: зв’язування адрес гаманців з конкретними пристроями та мережевими слідами сьогодні активно застосовується європейськими правоохоронними органами.
Ризики витоку: крадіжка особистості, фінансове шахрайство та таргетовані кібератаки
Комбінація таких атрибутів, як ім’я, адреса проживання, номер телефону, email, DNI та IBAN, створює для зловмисників майже повноцінний «цифровий паспорт» людини. Це відкриває можливість для цілого спектра кіберзлочинних сценаріїв.
Подібні бази даних найчастіше використовуються для:
— проведення високоточних фішингових кампаній від імені банків чи сервісів, коли листи та дзвінки виглядають максимально правдоподібно;
— оформлення кредитів і мікрозаймів на третіх осіб з подальшим невчасним погашенням;
— спроб соціальної інженерії через служби підтримки банків та провайдерів, використовуючи відомі «контрольні» дані клієнта;
— збагачення вже відомих витоків для створення детальних цифрових профілів громадян.
За оцінками європейських регуляторів та ENISA, понад 80% масштабних витоків у Європі так чи інакше пов’язані з подальшими шахрайськими операціями, а сукупні збитки для громадян і компаній вимірюються мільярдами євро щороку.
Чому компанії стають жертвами: людський фактор і прогалини в ІТ-захисті
Основні технічні та організаційні уразливості
Деталі конкретного зламу в Іспанії не розкриваються, однак практика інцидентів такого масштабу показує повторюваний набір проблем кібербезпеки:
— відсутність або вибіркове використання багатофакторної автентифікації (MFA) для доступу до критичних систем;
— помилки в конфігурації серверів та СУБД, що дозволяють підключення з публічної мережі без належної фільтрації;
— слабка сегментація мережі, коли компрометація одного облікового запису відкриває зловмиснику доступ до кількох внутрішніх сервісів;
— нестача моніторингу аномальної активності та відсутність або неефективне використання систем запобігання витоку даних (DLP-рішень).
Омолодження кіберзлочинності
Факт, що фігуранту справи лише 19 років, підкреслює тенденцію до омолодження кіберзлочинності. Інструменти для атак, готові експлойти та інструкції злама стали легко доступними як у відкритому інтернеті, так і на підпільних платформах, що суттєво знижує поріг входу для технічно підготовленої, але недосвідченої молоді.
Роль поліції та GDPR: наслідки витоку для бізнесу
Для розслідування інциденту іспанська поліція залучила фахівців з цифрової криміналістики, які аналізують вилучені пристрої, журнали подій та мережеві сліди. Важливу роль відіграють і механізми міжнародного обміну даними в ЄС, оскільки інфраструктура атак — від серверів до криптовалютних бірж — зазвичай розподілена між різними юрисдикціями.
Компанії, що стали жертвами зламу, ризикують зіткнутися не лише з репутаційними втратами та відтоком клієнтів, а й зі значними штрафами за порушення GDPR. Загальний регламент ЄС із захисту даних передбачає санкції до 20 млн євро або 4% від глобального річного обороту (залежно від того, яка сума більша) за неналежний рівень захисту персональних даних і невиконання вимог безпеки.
Інцидент в Іспанії ще раз демонструє, що персональні дані миттєво перетворюються на товар на тіньовому ринку, якщо компанії нехтують базовими принципами кіберзахисту. Щоб знизити ризики, бізнесу варто системно впроваджувати багатофакторну автентифікацію, обмежувати доступ до критичних систем за принципом мінімальних привілеїв, регулярно проводити аудити безпеки та тестування на проникнення, а також інвестувати в навчання співробітників основам кібергігієни. Користувачам доцільно використовувати унікальні паролі й менеджери паролів, вмикати 2FA у всіх важливих сервісах, уважно ставитися до фінансових запитів і запитів документів, а також періодично перевіряти свої email-адреси й телефони на предмет витоків у спеціалізованих сервісах. Послідовне підвищення цифрової грамотності та усвідомлене ставлення до захисту даних сьогодні стають ключовими елементами особистої та корпоративної кібербезпеки.
